Neuartige Funktionen
Die neue Version von "Sober" enthält offenbar neuartige Funktionen, die Dateien schädigen oder löschen können. Die Mailfächer der WM-Organisatoren waren deshalb seit Dienstag wegen Überlastung nicht erreichbar; auch konnte das OK nicht nach außen kommunizieren. Nach Angaben Grittners gingen weiterhin eine Million Mails pro Tag ein. Mittlerweile arbeite der Server aber dennoch wieder normal. Die infizierte Mail täuscht den Empfängern vor, dass sie WM-Karten gewonnen hätten, und fordert sie auf, die angehängte Datei zu öffnen. Wird der verseuchte Anhang angeklickt, werden Mails an sämtliche auf dem Computer gespeicherte Adressen geschickt.
Schädigt auch Dateien
Nach Angaben des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) schädigt W32.Sober.O(at)mm entgegen ersten Annahmen auch Dateien. Wie BSI-Sprecher Michael Dickopf in Bonn sagte, schaltet der Wurm einige Viren-Schutzprogramme ab und löscht darin Dateien. Betroffen sei Software der Firma Symantec, deren Aktualisierung verhindert werde. Zudem werde der Start verschiedener Entfernungs-Tools blockiert. Die Hersteller hätten aber bereits reagiert und die Namen ihrer Tools geändert.
Deaktiviert die Firewall
Außerdem deaktiviert Sober laut BSI die Firewall des Betriebssystems Windows XP und das automatische Windows Update. Diese Schadensfunktion trete erst nach Neustart des infizierten Rechners auf, sagte Dickopf. Nach Entfernung des Wurms müssten diese Funktionen wieder eingeschaltet werden. Die Verbreitung der neuen Sober-Variante im Internet schätzte Dickopf als "sehr hoch" ein. Allein im Bereich der deutschen Bundesbehörden seien seit Dienstag rund 400.000 infizierte Mails abgefangen worden.
Gezielt?
Ob Sober.O eine gezielte Attacke auf das WM-OK darstellt, ist allerdings bei IT-Experten umstritten. Christoph Hardy von der Sicherheitsfirma Sophos sagte, die Überlastung der OK-Rechner komme möglicherweise allein von Bounce-back-Mails, die ihre Empfänger nicht erreichten und automatisch bei den WM-Organisatoren landeten, die unter den gefälschten Absender seien.
"Eelativ raffiniert"
Hardy bezweifelte auch die Darstellung des BSI über Schadfunktionen. Der jüngste Sober-Vertreter sei zwar "relativ raffiniert" im Suchen nach Adressen und Selbstversenden, die von der Bonner Behörde beobachteten Fähigkeiten könne Sophos aber nicht bestätigen. Sober sei in jedem Fall ein Wurm und kein Virus, betonte der Sophos-Sprecher. Würmer sind kleine Programme, die sich in Computern einnisten, replizieren und selbst versenden, aber anders als Viren keine Dateien angreifen. Hardy sagte, möglicherweise sortiere Sober Mailadressen der Anti-Virenhersteller aus und verhindere so deren Information und Reaktion.